La idea tras del secuestro es adueñarse del sistema en su totalidad y cerrar el acceso a terceros por lo tanto:
1.- Una vez en el sistema, borrar todas las cuentas de usuario o cambiar el password excepto por la cuenta root o la actual
2.- Cambiar el password de la cuenta root o la cuenta actual
De esta forma se asegura que nadie mas pueda entrar al sistema a detener el ataque y se asegura de la continuidad de los servicios del sistema. A este punto los servicios y el sistema en si esta en total control del perpetrador, los servicios todavia funcionan pero bajo el control del atacante.
3.- Buscar que servicios tiene el sistema
Servicios como motores de bases de datos, web servers, application servers, email, proxy, dns, etc, etc, etc. De esta forma sabremos que podemos "robar" o controlar, netstat nos dira cuales puertos o servicios estan abiertos. Data files, web content, WAR files, configuration files, todo esto podemos cambiar y controlar.
4.- De aqui en adelante decidimos que queremos hacer, cambiamos las paginas web para poner nuestro contenido? desviamos el trafico a nuestros servidores? Sacamos los data files y las montamos en nuestros motores de bd para sacar la informacion? Sacamos los WAR files y decompilamos?
5.- Atacar otros sistemas en la red interna.
Una vez adentro del sistema podemos "escanear" la red interna para saber cuales otros servicios hay disponibles en la red.
6.- Cubrir las huellas.
Se deben deshacer todas formas de registro de acceso al servidor atacado, ya sea logs de acceso o del sistema.
7.- Publicar la informacion
Una vez terminado el ataque y sacado toda informacion hacer publica la informacion de acceso para que otros entren, ataquen y al mismo tiempo borren las huellas del ataque inicial.
